那些遇到过的问题

如何在PHP中转义输出

Chr*_*ism 3 php security xss escaping

我是新手,只是为了清楚.我听到很多关于逃避数据以防止XSS攻击的事情.我该怎么做呢?

这就是我目前正在做的事情 - 

$s = mysqli_real_escape_string($connect,$_POST['name']));
Run Code Online (Sandbox Code Playgroud)

这够了吗?谢谢

Sup*_*Spy 7

如果将数据输出到html,则应使用htmlspecialchars() else,如果要将数据存储在数据库中,则应使用mysqli_real_escape_string()转义字符串并转换数字(或使用两者的预准备语句)并保护标识符/运算符基于白名单的过滤机.

如果以正确的方式使用它们,这些方法都是您所需要的.

Tok*_*okk 5

您应该使用htmlspecialchars而不是mysqli_real_escape_string进行输出。

  • 是的,当您将不受信任的数据输出到数据库时,您可以使用 `mysqli_real_escape_string($something)` 或 `$pdo->quote($something)` 或准备好的语句。当您通过将某些内容回显到他/她收到的 html 页面中向用户输出不受信任的数据时,您可以使用 `htmlspecialchars($something, ENT_QUOTES);` (4认同)

归档时间:

查看次数:

9736 次

最近记录:

14 年,8 月 前
相关归档
这是将表单数据插入MySQL数据库的安全方法吗? 39
如何获取DynamoDB表中的项目总数? 21
如何接受JNDI/LDAP连接的自签名证书? 14
为什么OAuth2服务器不提供refresh_token响应"client_credentials"授权? 14
我可以用PHP提供MP3文件吗? 10
为什么/如何`value ="javascript:alert(1)"`被认为是OWASP的ZAP工具中的XSS漏洞? 7
LinkedIn Post API:如果帖子文本包含“()”,则帖子文本会被截断 6
如何在PlayFramework 2.1.x(Scala)中实现CSRF保护? 5
Flash,AS3:有没有办法以编程方式获取麦克风/摄像机的当前安全设置/限制? 4
Android支持AES256/CTR/NoPadding吗? 3
难疑归档
如何检查字符串是否包含JavaScript中的子字符串? 7430
如何从当前的Git工作树中删除本地(未跟踪)文件? 6561
RESTful编程究竟是什么? 3917
如何删除子模块? 3366
如何使用jQuery刷新页面? 2361
如何修改指定的提交? 2077
在YAML中,如何在多行中断字符串? 1388
如何在Python中打印到stderr? 1246
如何撤消'git reset'? 1172
查找包含具有指定名称的列的所有表 - MS SQL Server 1090